近日，360云安全系统监测到，国内的璧合科技DSP广告平台被嵌入了挖矿脚本，该脚本随广告平台投放的广告一起插入到了网页中，进而传播。

据悉，当该嵌入了挖矿脚本的广告代码被加载起来，无论用户是否点击查看广告，均会自动触发挖矿代码的执行。挖矿页面单日访问量逾百万次，4399、多玩网、东方网、久游网等多家知名站点受到影响，中招机器CPU资源会被大量占用，直接影响系统正常运行。

该广告平台，通过deepMiner自建了矿池，而不只是使用常见的coinhive。其中，此次挖矿脚本针对的是门罗币，广告位插入挖矿JavaScript过程简图如下：

该恶意挖矿JS代码存放在一个广告分发平台上，从广告位代码中看到其通过iframe嵌入了一个页面：http://kw.cn*****g.com/kww.html#0.5

该页面又嵌入了deepMiner.min.js该JS及其挖矿所用到的关键js脚本均使用了AES+Base64加密，加密所使用的密钥为：’NBR2513UXFME9B4MWUTTIUKCELEIBRC4’ 

对其进行解密后可看到是使用了中间件deepMiner构造自建的门罗币Web挖矿矿池;挖矿所用到的矿池地址：wss://kw.c******g.com/api

对其进行测试分析的时候发现其最新的广告位中已经更换了iframe的链接地址，其中直接嵌入了coinhive挖矿脚本：

挖矿的Site_Key为：76kBm8jdLIfdkW6rWAbAs58122fovBys 

CPU占用阈值throttle为：50%

据悉，目前已有几千个受影响站点被发现，部分受影响站点如下：

此前有报道称，BT种子网站海盗湾也曾透过JavaScript挖矿赚取的门罗币，以增加网站的收益。

门罗币与比特币类似，都是去中心化的虚拟货币，主要是依循所有使用者所认可的机制运作，并通过程序自动发行。

阿根廷一家星巴克店铺也被曝出店里的公共Wi-Fi暗藏恶意代码。它不会盗取用户的个人信息，也不会破坏电脑系统，而是劫持用户的电脑挖门罗币。该行为是未经用户允许侵占CPU/GPU，结果就是电脑卡顿。

当时星巴克回应，称这家店的 Wi-Fi 不是星巴克提供的，问题在于服务提供商，并表示将与服务提供商紧密合作。

值得一提的是，南方周末网站(infzm.com)的OpenX 广告业务模块也曾被恶意植入挖矿脚本，访问时CPU会被占满。

随后，南方周末发布有关说明，称在专业部门支持下，现已查清漏洞，删除植入，用户可放心浏览使用网站。

——寻求报道合作——

联系微信： wemedia007